Valutazione della vulnerabilità delle applicazioni cloud

0

Pensi che la valutazione lato server dell'applicazione sia importante quando l'applicazione è ospitata su un cloud come Amazon?

Valutazione del software utilizzato per ospitare l'applicazione e non l'effettiva applicazione, ad es. valutazione del server web nginx utilizzando nessus o nexpose. La sicurezza di questo software dovrebbe essere gestita da Amazon. Se esiste una vulnerabilità nel server Web nginx, il problema di sicurezza deve essere con Amazon e non l'applicazione effettiva. Per favore chiarisci il mio dubbio. Il mio approccio è corretto?

    
posta dany 09.11.2012 - 06:56
fonte

1 risposta

2

Anche se potrebbe essere nel caso in cui Amazon abbia eseguito i test di configurazione dei propri server e abbia verificato il pieno controllo della sicurezza, veramente vuole rischiare il tuo funzionamento stabilità e sicurezza non testandolo per te?

La domanda più grande è perché vuoi usare comunque "cloud", se hai qualcosa che vale la pena proteggere. L'unica cosa positiva che deriva dal cloud computing è che è economico. Tutto ciò che senti sul miglioramento dei tempi di attività è un errore: basta vedere quanti blocchi lunghi di siti di downtime hanno avuto a causa di interruzioni S3. Quindi, dal punto di vista della sicurezza, hai questi problemi:

  • Stai esternalizzando la colpa, ma non la responsabilità. Amazon non ha alcun accordo contrattuale con te per fornire test di sicurezza adeguati in un modo applicabile a tu specificamente come cliente. Puoi biasimarli per gli errori di sicurezza quanto vuoi, ma non saranno ritenuti contrattualmente responsabili.
  • Stai mettendo la risposta agli incidenti nelle mani di un'altra azienda. Non avrai assolutamente la possibilità di ottenere immagini a disco intero che si presenteranno in tribunale se ti viene violato. Amazon non ha le risorse, l'inclinazione o l'influenza legale per fornire copie e registri a livello forense ai clienti.
  • Una volta inseriti i dati nel cloud, potrebbe anche non essere più tuo . Vari governi, compresi gli Stati Uniti, hanno approvato una legge che afferma che i dati "cloud" non sono più di proprietà e possono essere presi o rimossi.

La sicurezza reale e l'uptime competitivo hanno un costo. Se si desidera una sicurezza adeguata e tempi di attività elevati, procurarsi un server dedicato con uno SLA e far controllare lo stack completo da un esperto tester di sicurezza.

    
risposta data 09.11.2012 - 08:08
fonte

Leggi altre domande sui tag